Die Analyse der Citibank TANs hat ergeben, dass die Transaktionsnummern in aufsteigender Reihenfolge sortiert sind und die Differenz zwischen benachbarten TANs nicht besonders groß ist. Die vollständige Analyse finde sie bei heise Security.
Auf Nachfrage von heise Security erklärte die Citibank, dass sich die aufsteigende Reihenfolge dadurch erklären ließe, dass die Zeit als Zufallskomponente in den Prozess der TAN-Generierung mit einfließe. Außerdem seien die Differenzen zwischen zwei direkt aufeinanderfolgenden TANs rein zufällig und je nach TAN-Liste verschieden. Insoweit sei das von der Citibank verwendete Verfahren sicher. Zweifel daran hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhoben. Der Pressesprecher des BSI erklärte auf Nachfrage von heise Security, dass die Sicherheit des PIN/TAN-Verfahrens geschwächt sei, wenn nicht der theoretisch mögliche Wertebereich vollständig ausgenutzt würde.
Konsequenz einer Systematik in der Abfolge von TANs wäre wohl, dass gewiefte Phisher nun nach gebrauchten und damit scheinbar ungefährlichen TANs fragen um mit einer gewissen Wahrscheinlichkeit auf die nächste gültige TAN zu schließen.
Mehr zum Thema finden sie auch bei heise.de .